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Procede de diagnostic de defauts de fonctionnement 
d'une architecture fonctionnelle 

La presente invention est relative a un procede de 
5 diagnostic de defauts de fonctionnement d'une architecture 
fonctionnelle composee.. d'un ensemble de fonctions liees a 
des composants electroniques (A n i; C n i;UCE n ;B) , produisant et 
consommant des donnees, au moins une desdites donnees (Xi) 
etant susceptible de prendre une valeur particuliere (x ip ) 
10 predeterrainee, consecutivement a 1' apparition d'un defaut 
de fonctionnement de 1'un au moins des composants (A n i; 
C n i;UCE n ;B) dudit ensemble. 

On connait des ensembles de systemes electroniques de 
ce type, concus notamment .pour equiper des vehicules 
15 automobiles. Un tel vehicule cbmprend couramment plusieurs 
systemes assurant chacun 1' execution d'une prestation telle 
que la commande du moteur propulsant le vehicule, '{ la 
gestion de la climatisation de l'habitacle, la gestion !des 
liaisons du vehicule au sol (freinage, suspension...), la 
20 gestion de communications telephoniques, etc, etc... 

On a schematise a la figure 1 du dessin annexe les 
composants materiels de 1 'ensemble de ces systemes. Ces 
composants comprennent essentiellement des unites de 
commande electroniques ou "calculateurs" UCE m , chaque 
25 calculateur etant eventuellement connecte a des capteurs C n i 
et a des actionneurs A m j, tous les calculateurs etant 
connectes a au moins un m§me bus B pour y emettre ou 
recevoir des informations par exemple multiplexees, en 
provenance ou a destination des autres calculateurs 
30 connectes au bus B. 

Ce multiplexage est obtenu notamment, comme cela est 
bien connu pour le bus CAN par exemple, en introduisant les 
informations en cause dans des messages materialises par 
des trames de signaux numeriques. 



# • 

2 



A titre d'exemple illustratif, le systeme S 2 de 
"commande du moteur" comprend le calculateur UCE 2 , plusieurs 
capteurs C 2 i sensibles a des grandeurs telles que le regime 
du moteur, k combustion interne par exemple, la pression au 
5 collecteur d' admission de ce moteur, la pression de I 1 air 
ext£rieur, la temperature de l T eau de ref roidissement du 
moteur, celle de l'air, l'etat de charge de la batterie, 
etc, etc., et plusieurs actionneurs A j. Le calculateur UCE 2 
est dument programme pour executer plusieurs fonctions de 

10 commande du moteur telles que : la regulation de ralenti, 
la regulation de la richesse du melange air/carburant , le 
reglage de l'avance £ l T allumage de ce melange et la 
recirculation des gaz d T echappement . Pour ce faire le 
calculateur UCE 2 exploite des informations venues des 

15 capteurs C 2 i prfecites et elabore des signaux de commande des 
actionneurs A 2 j constitues par une vanne de commande d'air 
additionnel et une bobine d'allumage de bougie pour la 
fonction "regulation de ralenti", un injecteur de carburant 
pour la fonction "regulateur de richesse", la meme bobine 

20 d'allumage pour la fonction "avance de l'allumage" et une 
vanne pour la fonction "recirculation de gaz 
d 1 echappement " . 

Les autres "prestations" evoqu£es ci-dessus, 
"climatisation de 1 'habitacle", "liaison avec le sol", 

25 etc.. sont executees par des systemes d 1 architecture 
analogue a celle presentee ci-dessus pour la commande du 
moteur. 

Tous ces systemes mis en communication par un m§me bus 
B constituent un reseau multiplexe. On congoit alors que 
30 plusieurs fonctions relevant de systemes diff£rents peuvent 
exploiter des informations issues de memes capteurs, par 
exemple, ce qui evite de codteuses redondances dans la 
structure de l f ensemble des systemes. L T utilisation d'un 
reseau multiplexe permet aussi de reduire de mani£re tr£s 
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importante la longueur des lignes 61ectriques 
interconnectant les diff<§rents elements de 1" ensemble. Un 
tel ensemble multiplex^ permet aussi la mise en place de 
fonctions non classiques et eventuellement complexes, 
faisant intervenir parfois plusieurs syst^mes et dites pour 
cette raison "transversales" . A titre d T exemple illustratif 
et non liraitatif, la perception de 1 ' information "sac d T air 
(ou "airbag") d6clenche", significative de ce que le 
vehicule a subi un choc, peut §tre traitee alors de manidre 
£ commander 1' emission d'un appel au secours par un 
dispositif de telephonie mobile embarque dans le vehicule. 

Un autre etape de la conception des systemes 
61ectroniques est 1 T analyse de sQret6 de fonctionnement qui 
consiste a identifier des evenements redout6s tels qu'un 
pneu qui eclate, un d6faut de fonctionnement d T un capteur 
essentiel sur une fonction critique, un defaut de 
fonctionnement d'un actionneur par exemple de freinage, 
afin d'ameliorer la securite et de specifier des modes 
d<§grad§s de fonctionnement si necessaire. 

On note qu'un systeme sure de fonctionnement est un 
syst£me qui, d'une part diagnostique certains 6venements 
redoutes afin de mettre en ceuvre des modes de 
fonctionnement degrades et d r autre part est tolerant aux 
evenements redoutes non diagnostiques selon 1 T analyse de 
surete de fonctionnement. 

On connait de la demande de brevet frangais N° 01 
15819, la notion de valeur particuliere et son utilisation 
dans un proced6 de diagnostic de defauts de fonctionnement 
d'un ensemble de systdmes- §lectroniques . 

Cependant, ce dit proc^de ne s 'applique qu'a un mode 
de realisation donne d'une architecture fonctionnelle et ne 
peut pas etre r6utilis6 pour un autre mode de realisation. 

La demanderesse a d^couvert que les valeurs 
particuliferes pouvaient etre class6es en categories de 
telle maniere que l'on puisse separer des valeurs 
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particulieres, dites fonctionnelles, independantes du mode 
de realisation par une architecture materielle et des 
valeurs particulieres dites operationnelles, specifiques au 
mode de realisation par des calculateurs , bus de 
5 communication, et cablage. 

La demanderesse a aussi decouvert que les differentes 
categories de valeurs particulieres etaient liees en ce que 
une valeur particuliere au niveau fonctionnel entraine la 
creation de valeurs particulieres au niveau operationnel . 

10 De la meme maniere, partant d'une analyse operationnelle , 
on peut deduire une analyse f onctionnelle qui pourra etre 
re-applique sur d'autres modes de realisations. 

De cette maniere on r6pond au probleme cite ci-dessus 
par un procede de diagnostic de defauts de fonctionnement 

15 d'une architecture f onctionnelle composee d T un ensemble de 
fonctions liees a des composants eiectroniques (A n i; C n i; 
UCE n ; B) , produisant et consoiranant des donnees, au moins une 
desdites donnees (x ± ) etant susceptible de prendre une 
valeur particuliere (x ip ) predeterminee, consecutivement a 

20 l 1 apparition d r un defaut de fonctionnement de l f un au moins 
des composants (A n i; C n i; UCE n ; B) dudit ensemble, ce procede 
etant caracterise en ce que, etant donne un ensemble de 
fonctions, realisant une prestation, dont les donnees 
d 1 entrees et de sorties peuvent §tre liees a des capteurs 

25 ou des actionneurs, il comport e : 

- une etape de determination de valeurs particulieres 
au cours de laquelle on liste les valeurs particulieres 
correspondant £ des defauts de fonctionnement des capteurs 
et des actionneurs, 

30 - une etape de determination de propagation au cours 

de laquelle on liste les valeurs particulieres permettant 
la propagation de 1 T information relative a ces defauts & 
travers les dites fonctions et 

- une etape de diagnostic au cours de laquelle on 
35 forme le diagnostic fonctionnel de ladite prestation en 
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fonction des listes issues des etapes de determination. 

De cette maniere on definit un diagnostic fonctionnel 
independent dd mode de realisation et done reutilisable 
pour d'autres modes de realisation des fonctions .par les 
calculateurs et bus. 

Selon une caracteristique particuliere, apres l'etape 
de diagnostic fonctionnel, etant donne le choix d'un mode 
de realisation se traduisant par 

une architecture materielle 

constitute . de calculateurs, reseaux, liaisons 
filaires et connecteurs, 

et le Placement des fonctions sur 
ladite architecture materielle, 
on liste les valeurs particulieres selon le procede de la 
revendication 1 afin de deduire un diagnostic operationnel 
de 1' architecture electrique-electronique resultante. 

De cette maniere, le diagnostic pour un placement est 
genere, au moins en partie, automat iguement . 

Selon d'autres caracteristiques, les valeurs 
20 particulieres sont classifies apres placement des 
fonctions sur ladite architecture materielle parmi au moins 
une des classes suivantes : 

- bus coupe, 

- trame corrompue, 

- court-circuit applique a un fil, 

- faux contact applique a un connecteur de 
faisceaux, de capteur, d'actionneur ou de 
calculateur, et 

- d§faut d' execution applique a un micro- 
30 contr61eur. 

De cette maniere, le diagnostic apres placement est 
gSnere automatiquement par categories et le concepteur peut 
ne pas specifier le diagnostic de certaines categories, 
parce qu'elles sont plus fiables par exemple, afin de 
35 reduire le coQt de conception. 
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Notons que le fait d'ecarter une seule cat6gorie, par 
exemple les court-circuits, permet implicitement de la 
diagnostiquer puisque si un d6faut ne provient d'aucune des 
autres, les defauts de ladite categorie restent les seuls 

5 Candida ts k 1 T explication d f un probleme. 

Selon des caracteristiques particulieres etant donn§ 
un diagnostic op6rationnel, pour une prestation, ayant 
liste les valeurs particulieres f onctionnelles relevant des 
capteurs, actionneurs et fonctions r^alisant ladite 

10 prestation, pour au moins un ,flot de donn§es entre deux 
fonctions, ou entre un capteur et une fonction, ou entre 
une fonction et un actionneur, pour lequel aucune valeur 
particuli&re fonctionnelle n'est d6finie, si une valeur 
particuliere op6rationnelle est definie, alors on determine 

15 automatiquement une valeur particuliere fonctionnelle 
nouvelle pour ce flot. 

De cette manidre, 6tant donn6 le diagnostic du 
placement d T une architecture fonctionnelle, on deduit un 
diagnostic fonctionnel de ladite architecture fonctionnelle 

20 qui peut s'appliquer ci d' autres placements. 

Selon des caracteristiques particulieres, on vise un 
procede de diagnostic caract6ris6 en ce pour chaque etape 
de la revendication 1, on liste non seulement les valeurs 
particulieres, mais aussi les evenements redoutes non 

25 diagnostiques et les ev§neraents redoutes non 
diagnosticables pour former une analyse de surete de 
fonctionnement d'une architecture fonctionnelle. 

De cette maniere, 1 T analyse de surete de 
fonctionnement peut etre r6alis6e, au moins en partie, 

30 avant qu'un mode de realisation par des calculateurs et 
r6seaux ne soit choisi. 

Selon des caracteristiques particulieres, on vise un 
proced£ de diagnostic caract^rise en ce que , etant donn6 
le choix d T un mode de realisation se traduisant par 

35 - une architecture materielle 
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constitute de calculateurs, reseaux, liaisons 
filaires et connecteurs, 

et le placement des fonctions sur 
ladite architecture materielle, 
on llste les valeurs particulieres et evenements redoutes 
selon le precede de la revendication 5 afin de deduire une 
analyse de surete de fonctionnement operationnelle de 
1' architecture electrique-electronique resultante. 

De cette maniere, 1 'analyse de surete de 
fonctionnement peut, au moins en partie, etre generee 
automatiquement . 

D'autres buts, caracteristiques et avantages de la 
presente invention apparaitront a la lecture de la 
description qui va suivre et a l'examen du dessin annexe 
15 dans lequel : ; 

la figure 1 est un schema d'un ensemble de 
systemes electroniques qu'on se propose de doter ' 
de moyens de diagnostic de defauts de 
fonctionnement suivant la presente invention, cet 
ensemble etant decrit dans le prtambule de la 
presente description et, 

la figure 2 est un schema illustrant un type 
de placement d'une fonction sur une architecture 
materielle 

25 En figure 2, la fonction "Calcul vitesse roue" 405 

consomme une donnee brute "V" 403, provenant du capteur 
"vitesse roue" 401. Un diagnostic de la donnee V peut etre 
determine a partir d'une information provenant du capteur 
"vitesse roue" 401 ou par un filtrage en entree de la 
30 fonction "Calcul vitesse roue" 405. Supposons que ce 
diagnostic soit determine par une valeur particuliere de 
"V" 403, par exemple la valeur particuliere "Vpart" de "V". 

Dans la figure 2. dans un mode de realisation 
particulier, le capteur vitesse 420 est rattache a un 
calculateur 436 et la fonction "Calcul vitesse roue" 405 
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est realisee par un processus execute sur un autre 
calculateur 434. 

La transformation du capteur vitesse 401 d'une 
architecture f onctionnelle en capteur vitesse 4 20 d'une 
5 architecture materielle est symbolise par la fleche 410. De 
m6me, 1 ' implantation de la fonction "Calcul vitesse roue 1 ' 
405 de 1 ' architecture f onctionnelle sur le calculateur 434 
est symbolise par la transformation 412. On note que le 
flot de donnees entre le capteur vitesse 401 et la fonction 
10 "Calcul vitesse roue" 405 est transforme en un chemin 
complexe de 1 1 architecture materielle, chemin impliquant : 

- deux calculateurs 436 et 434 et leur connecteurs 
respectifs 428 et 432, 

- un reseau 430, 

15 - des liaisons filaires 422 et 426. et 

- un connecteur de faisceaux 424. 

Une valeur particuliere A de type "court circuit" 
est associee au chemin forme des fils 422 et 426 entre le 
capteur 420 et le calculateur 436 auquel il est rattach£, 
20 cette valeur caracterisant aussi un defaut de connexion au 
niveau de l'un, au raoins, des connecteurs 424 et 428. 

Une valeur particuliere B caracterisant l'etat de 
fonctionnement du calculateur 436 indique si le relai de la 
donn£e "V" sur ce dit calculateur 436 peut s'effectuer dans 
25 de bonnes conditions. 

Une valeur particuliere C caracterisant l'etat de 
fonctionnement du bus 430 prend en compte 1' absence de 
transmission de la donn6e "V" sur ledit bus 430. 

Les valeurs particuliere A, B, C sont, conform^ment a 
30 1' invention, considerees en plus de la valeur particuliere 
de V pour le diagnostic du flot de donnees entre le capteur 
de vitesse 420 et 1' execution de la fonction "Calcul 
vitesse roue" sur le calculateur 434 sur lequel elle est 
plac^e . 

35 Les valeurs particuliere A, B, C qui peuvent Stre des 

valeurs particulieres de "V" ou d ! une ou plusieurs autres 
donnSes, peuvent Stre d6termin£s automatiquement & partir 
de la projection du flot de donnees sur 1 1 architecture 
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mat6rielle . 

En effet, 

- les types de defauts entre un capteur et un calculateur 
ou entre un calculateur et un actionneur sont des defauts 

5 de connect ique sur le chemin filaire suivi par la donn6e 

V et peuvent Stre caract£rises par une valeur 
' particuliSre sur le calculateur recevant le signal & 
condition qu'il existe une fonction pour les 
diagnostiquer ; 

10 - les types de defauts lies a 1' execution d'une fonction 
sur un calculateur sont diagnostiques par ledit 
calculateur, un mode de realisation etant 1 1 emission 
d'une valeur particulifere en cas d'echec d'un calcul de 
CRC (Cyclic Redundancy Check) ou test de redondance 

15 cyclique par exemple ou encore 1' Emission syst6matique 

d'une valeur particuli^re signalant le bon f onctionnement 
du calculateur, la valeur particulifere ayant alors le 
r61e d'un diagnostic de bon f onctionnement et 1" absence 
d' Emission de ladite valeur particuliere correspondant 

20 alors h une d6faut de f onctionnement dudit calculateur; 

et 

- les types de defauts li6s h la transmission de donnees 
sur un bus sont g§n6r6s h partir d'une strategie de 
gestion de r6seau od chaque calculateur du reseau observe 

25 les autres et interprete une absence de reception coirutie 

une perte transitoire de connexion, ceci pouvant etre 
caract6ris6 par une valeur particuliere. 

D6s lors, pendant 1 1 §tape de placement, le diagnostic 
de la donn§e V peut 6tre enrichi des valeurs particuliferes 
30 A, B et C, afin d ' aider a la localisation d'un 6ventuel 
d6faut, en plus de la valeur particulifere "Vpart" provenant 
du capteur deja specif i6 avant placement dans 
1 1 architecture f onctionnelle . 

Reciproquement , etant donn£ un diagnostic pour le mode 
35 de realisation de la figure 2, si une valeur particuliere 
est definie pour 1 1 un quelconque des elements 420, 422, 
424, 426, 428, 436, 430 et 432, pour la consommat ion de la 
donnee V par la fonction "Calcul vitesse roue", alors on 
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peut ©n deduire qu'il est necessaire de specifier au moins 
une valeur particuliere du flot de donnees V dans 
1' architecture f onctionnelle . 

On note que le procede ainsi definit s'etend sans 
peine a un procede d' analyse de surete de f cnctionnement , 
1' analyse de surete de f onctionnement pratiquee sur une 
architecture fonctionnelle pouvant ensuite etre raffinee au 
moment du placement de ladite architecture fonctionnelle 
sur une architecture materielle. Le seul enrichissement 
reside en ce que dans une analyse de surete de 
f onctionnement, on considers non seulement des valeurs 
particulieres correspondant a des defauts detectables par 
le systeme. mais on prend aussi en compte des evenements 
redoutes non dStectes par le systeme. 

Cependant, ce changement de point de vue ne modi fie 
pas le procede propose dans la presente invention. 

Ci-dessous, on prend l'exemple de la prestation acces 
a un vehicule et on s'interesse plus part icul ier ©men t a la 
surete de f onctionnement de la prestation en cas de 
"CRASH", c'est-a-dire d ' accident grave detecte par un 
capteur specifique, ici un accelerometre . Dans un tel 
contexte, le cas d ' utilisation que nous appellerons "CRASH" 
est: "Dans un contexte raoteur tournant, si un crash est 
detecte. alors les ouvrants du vehicule doivent se 
deverrouiller d'urgence". On veut s'assurer 

qu'effectivement, suite a un crash, les portes seront 
deverrouillees afin que les sauveteurs puissent enlever 
rapidement les passagers du vehicule. par exemple. Tous les 
evenements qui peuvent nuire a la bonne execution de ce cas 
d ' utilisation sont redoutes. 

Dans la suite, on appelle pilote une fonction dediee 
a la gestion d 1 un capteur ou d'un actionneur, c'est a dire 
la fonction de capture et raise en forme d'une donnee 
provenant d'un actionneur ou la fonction de mise en forme 
d'une donnee de consigns et commande d'un actionneur 
suivant ladite consign©. 

Pour implementer le cas du CRASH, une requete "crash 
detecte" est specif iee . Ell© est realises par une fonction 
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appelee "crash-detecte" qui capture la valeur fournie par 
un accelerometre "A". Cette valeur est evaluee en un bit de 
statub "a" indiquant si un choc est detecte. Le pilote 
logiciel de capture de 1 ' acceleration en provenance du 
capteur "A" est le programme "PI", lorsqu'un Crash est 
detecte. le systeme pas dans un etat que nous nommerons 
"Deverrouillage d'urgence". Dans cet etat, la fonction 
"deverrouillage des portes" est executee. Cette execution 
results en 1 ' affectation d'une donnee "d" a la valeur "1" 
lue par un pilote (programme de commande d 1 acti-onneur des 
verrous) logiciel P2 qui commande a l'ouverture les verrous 
des portes Vi . 

Le sequencement des operations en cas de crash est 
alors par exemple: 

15 ~ 1 'accelerometre a detecte une valeur de crash, 

le pilote PI est execute, 

la fonction qui realise la demande "crash 
detecte" est evaluee, 

le bit "a" de detection du crash est mis a la 
20 valeur "1", ce qui correspond dans notre exemple a 

une validation du passage dans l'etat suivant : 

le passage dans l'etat "Deverrouillage 
d'urgence" est realise, 

1 'operation elementaire deverrouillage des 
25 portes est activee, 

la donnee "d" est mise a la valeur "1", 
le logiciel P2 est execute, et 
les verrous Vi sont commandes en position 
deverrouille . 

30 si on s'interesse aux evenements redoutes qui 

affectent 1 'operation elementaire crash-detecte-valide. on 
a par exemple : 

le capteur A est defaillant, et 
PI est defaillant, 
35 on suppose que, pour chacune de ces def alliances, si ' 

elles peuvent etre diagnostiquees . les fonctions passent 
eventuellement dans un mode de fonctionnement degrade 
suivant un precede connu. Dans le precede que nous 
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pr^sentons, la notion de passage en mode d6grad6, bien 
connue de 1 1 homme du m§tier, n'intervient pas, le passage 
au niveau fonctionnel et au niveau operationnel etant 
equivalent . Nous ne parlerons done pas de cet aspect de 
5 1' analyse de sflret6 de f onctionneraent dans notre 
description . 

Si, maintenant , 1' operation elementaire crash-detecte- 
valide est plac^e sur un calculateur UCH et si, d'une part, 
le capteur A est attache a un calculateur "Airbag" . et, 
10 d' autre part, ces deux calculateurs sont lies par un bus de 
donne CAN et que la donn£e A circule sur la trame T, alors 
les tenements redoutes qui affectent l 1 operation 
elementaire sont enrichis et deviennent : 

- le capteur A est intrinsequement defaillant, 

15 - I'un des fils ou des connecteurs entre le 

capteur A et le calculateur Airbag est en defaut 
(fil coupe, d6faut de connect ique, ...) , 

l'un des autres fils et connecteurs liant le 
capteur A aux autres calculateurs est en defaut et 
20 cree un defaut du capteur A, 

1' execution de PI est defaillante, 
le calculateur Airbag sur lequel PI s* execute 
est en defaut, 

- le bus CAN est coup6, 

25 - la trame T ne circule pas suite h un defaut du 

pilote CAM sur 1' Airbag, 

- la trame T n'est pas lue correctement par le 
calculateur habitacle, et 

- le calculateur habitacle est en d6faut. 

30 Suivant un autre placement, d 1 autres evenements 

correspondant aux nouveaux calculateurs et r^seaux et 
elements de connectique impliques sont specifics. 

On peut done, lors de la description de la prestation, 
specifier un ensemble d' tenements s'appliquant aux 

35 capteurs, actionneurs, pilotes, donn^es, operations 
£lementaires . Lorsque le placement est realise, le 
placement sur des calculateurs connect6s par des r£seaux 
permet d'enrichir automatiquement la description des 
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passages en modes degrades ou des propagations de defaut en 
prenant en compte : 

pour un capteur ou un actionneur, 1 ! ensemble 
des defauts pour chaque fil. et chaque connecteur 
liant ce capteur ou cet actionneur aux differents 
calculateurs et masses, 

pour un pilote, un defaut d' execution logiciel 
ou un defaut de la plate-forme sur laquelle il est 
place, 

pour une donnee si elle circule sur un reseau, 
une coupure du reseau, 

pour une donnee si elle circule dans une trame. 
un defaut de la trame, 

pour une donnee si elle circule sur un 
15 calculateur passerelle entre deux reseaux, un defaut • 

du calculateur, et 

pour une operation elementaire, un defaut 
d 1 execution logiciel ou un defaut du calculateur sur 
lequel est place 1' operation elementaire. 
20 L ' ensemble des types de defaut ainsi que les • 

composants auxquels ces types de defaut peuvent s'appliquer 
sont renseignes dans une base de donnee. Les 
enrichissements des evenements suite au placement sont 
ainsi realises automatiquement . 
25 Ce procede peut etre mis en oeuvre a l'aide d'un outil 
in format ique permettant 1 'edition des differents objets 
necessaires a la conception et 1 ' automatisation partielle 
des differentes etapes du procede const itue par 
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p^V^NnTr-ATIONS 
1. Procede de diagnostic de defauts de 
fonctionnement d'une architecture fonctionnelle composee 
d'un ensemble de fonctions liees a des composants 
electroniques (A n if C R i; UCE n ; B) , produisant et consommant des 
donnees, au moins une desdites donnees (x ± ) etant 
susceptible de prendre une valeur particuliere (x ip ) 
predetermine, consecutivement a 1' apparition d'un defaut 
de fonctionnement de l'un au moins des composants (A n i; 
C n i;UCE n ;B) dudit ensemble, ce procede etant caracterise en 
ce que, etant donne un ensemble de fonctions, realisant une 
prestation, dont lea donnees d' entrees et de sorties 
peuvent etre liees a des capteurs ou des actionneurs, il 
comport e : 

- une etape de determination de valeurs particulieres 
au cours de laquelle on liste les valeurs particulieres 
correspondant a des defauts de fonctionnement des capteurs 

et des actionneurs, 

- une etape de determination de propagation au cours 
de laquelle on liste les valeurs particulieres permettant 
la propagation de 1 ' information relative a ces defauts a 
travers les dites fonctions et 

- une etape de diagnostic au cours de laquelle on 
forme le diagnostic fonctionnel de ladite prestation en 
fonction des listes issues des etapes de determination. 

2. Procede de diagnostic selon le revendication 1, 
caracterise en ce qu' apres 1' etape de diagnostic 
fonctionnel, etant donne le choix d'un mode de realisation 
se traduisant par 

une architecture materielle 

const ituee de calculateurs, reseaux, liaisons 
filaires et connecteurs, 

et le placement des fonctions sur 
ladite architecture materielle, 
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on liste les valeurs particulieres selon le procede de la 
revendi cation 1 afin de deduire un diagnostic operationnel 
de 1 ' architecture electrique-electronigue resultante. 

3. Procede de diagnostic selon les revindications 1 et 
2, caracterise en ce que les valeurs particulieres sont 
classifiees apres placement des fonctions sur ladite 
architecture materielle parmi au moins une des classes 
supplementaires suivantes : 

- bus coupe, 

- trame corrompue, 

- court-circuit applique a un fil, 

- faux contact applique a un connecteur de toron, 
de capteur, d'actionneur ou de calculateur, et 

- defaut d' execution applique a un micro- 
controleur. 

4. Procede selon les revendications 1 a 3, caracterise 
en ce que etant donne un diagnostic operationnel, pour une 
prestation, • ayant liste les valeurs particulieres 
fonctionnelles relevant des capteurs, actionneurs et 
fonctions realisant ladite prestation, pour au moins un 
flot de donnees entre deux fonctions, ou entre un capteur 
et une fonction, ou entre une fonction et un actionneur, 
pour lequel aucune valeur particuliere fonctionnelle n'est 
definie, si une valeur particuliere operationnelle est 
definie, alors on determine automat iquement une valeur 
particuliere fonctionnelle nouvelle pour ce flot. 

5. Procede selon les revendications 1 a 4, caracterise 
en ce que pour chaque etape de la revendication 1, on 
liste non seulement les valeurs particulieres, mais aussi 
les evenements redoutes non diagnostiques et les evenements 
redoutes non diagnosticables pour former une analyse de 
sQrete de fonctionnement d'une architecture fonctionnelle. 

6 Procede selon les revendications 1 a 5, caracterise 
en ce que, etant donne le choix d'un mode de realisation se 
traduisant par 
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une architecture materielle 

constitute de calculateurs, reseaux, liaisons 
filaires et connect eurs, 

et le placement des fonctions sur 
ladite architecture materielle, 
on liste les valeurs particulieres et evenements redoutes 
selon le precede de la revendication 5 afin de deduire une 
analyse de surete de fonctionnement operationnelle de 
1 • architecture 61ectrique-electronique resultante. 
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